防毒廠商推出免費Rootkit掃描工具

防毒廠商Sophos近日發表Rootkit掃描工具Sophos Anti-Rootkit，並於網站上提供免費下載使用。在此之前，已有一些資安軟體整合Rootkit掃描功能，資安專家預期，防毒軟體整合掃描Rootkit功能是未來的趨勢，這將大幅降低要找出Rootkit所需的技術能力門檻。

微軟的Antimaleware團隊公布的一項調查數據指出，570萬臺透過MSRT（Microsoft Malicious Software Removal Tool）來掃描不明威脅軟體的電腦中，有14%的電腦隱藏著Rootkit。臺灣的多數資安專家亦表示，他們從傀儡程式、後門程式、木馬程式中都發現隱藏著Rootkit。

14％的電腦感染Rootkit，這個比例並不算低，然而，數聯資安研發部副總經理張裕敏表示，因為Rootkit具有自我隱藏的特色，要找出Rootkit通常很難，要預防Rootkit更是不容易。他說，在作業系統的應用程式層級，Rootkit會以假冒程式置換正常程式，或者利用API Hook技巧，更改正常程式的功能；若是在是核心（Kernel）層級的Rootkit，因為會更改到系統核心，經常需要利用微軟驅動程式或載入模組的方式，達到隱藏效果。目前網路上駭客撰寫Rootkit程式，經常使用特殊函數和工具，大約有30多種。

Sophos先前在網站上曾針對335家企業調查，有55％的企業擔心電腦被Rootkit感染，只有8％企業不擔心，但其中則有37％的企業並不知道Rootkit是什麼。Sophos大中華區總經理周冠東表示，為了解決企業這樣的困擾，Sophos推出免費線上下載的Rootkit掃描工具，該工具擁有辨識已知和未知Rootkit的能力，即便是非Sophos的用戶也可以使用，可補足現有企業版防毒軟體對Rootkit辨識能力的不足。

Sophos Anti-Rootkit可以偵測出隱藏程序（Process）、登錄檔（Registry）和檔案（File/Directory）等3種主要類型的Rootkit。對於其掃描能力，臺灣電腦網路危機處理暨協調中心電腦鑑識實務班講師叢培侃，以網路上隨手可得的測試樣本來測試，他發現Sophos Anti-Rootkit能掃描出隱藏程序中基本的Rootkit（例如hxdef），但對於隱藏式的登錄檔和隱藏式檔案，誤判率較高。此外，若要偵測隱藏程序型的Rootkit，則需要掛載驅動程式（MEMSWEEP.sys）。

除了Sophos Anti-Rootkit，艾克索夫（x-slove）資安顧問邱銘彰表示，用來掃描、偵測隱藏式登錄檔和隱藏式檔案的工具中，Rootkit Revealer和IceSword是目前最普遍的工具，而且都免費。
先前F-Secure發表的Rootkit掃描工具Black light Rootkit，已經在今年整合至F-Secure防毒軟體中；賽門鐵克也看到Rootkit對資安的威脅，該公司亞太區資訊安全技術顧問林育民表示，賽門鐵克已經在最新版的企業版防毒軟體中，整合具有行為模式和特徵分析的Rootkit掃描技術。他認為，防毒軟體整合掃描Rootkit功能，將會是未來的趨勢。文⊙黃彥棻